Malware AdvisorsBot vuelve a atacar

04 Febrero 2019
Alto

Investigadores de Cybaze-Yoroi ZLab analizaron una nueva versión del malware AdvisorsBot, detectado por primera vez en agosto de 2018. Se distribuye a través de un correo electrónico que tiene adjunto un archivo malicioso llamado invoice.doc, que incita a la víctima a abrirlo, a través de técnicas de ingeniería social.

Una vez abierto, el documento solicita a los usuarios habilitar los macros que están ofuscados, para evitar la detección de los antivirus. Luego, el código de macro descarga una cadena de texto a través de un objeto WebClient, desde la consola de powershell. Finalmente, lo guarda con la extensión de archivo .png y lo ejecuta a través de "iex".

AdvisorsBot tiene la capacidad de recopilar información del sistema, de los programas instalados en el dispositivo y detalles de la cuenta de Office, entre otros. También puede tomar capturas de pantallas en el equipo infectado.

Se recomienda lo siguiente:

- Desactivar las macros de forma predeterminada.

- Nunca abrir un archivo adjunto en un correo, antes de asegurarse que viene de una fuente confiable.

- Mantener una buena estrategia de respaldo de información.

- No tener equipos con servicio de escritorio remoto, conectados directamente a Internet.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows y Office a las últimas versiones.

- Configurar de manera más estricta el anti spam.

El listado de las CVE se adjunta a continuación:


Tags: #advisorsbot #malware #doc #malspam #powershell #png #webclient


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.